路由控制、过滤

于 2023-09-21 15:50:25 发布
阅读量361 收藏 3
点赞数
分类专栏: 网络世界 文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65225435/article/details/133135778
版权

二、知识点

回顾:

BGP    —BGP邻居关系类型

—报文类型

—状态机制

—通告原则

—全互联  -联盟/反射器   

—BGP 选路规则

==================

1,路由控制

路由控制可以通过路由策略(Route-Policy)实现,路由策略应用灵活而广泛,有以下几种常见方式:

控制路由的发布:通过路由策略对发布的路由进行过滤,只发布满足条件的路由。控制路由的接收:通过路由策略对接收的路由进行过滤,只接收满足条件的路由。控制路由的引入:通过路由策略控制从其他路由协议引入的路由条目,只有满足条件的路由才会被引入。

**2,匹配工具   **

1), ACL 访问控制列表

访问控制列表(Access Control List,ACL)是一个匹配工具,能够对报文及路由进行匹配和区分。

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作

通配符:(Wildcard)

通配符是一个32比特长度的数值,用于指示IP地址中哪些比特位需要严格匹配,哪些比特位无需匹配。通配符通常采用类似网络掩码的点分十进制形式表示,但是含义却与网络掩码完全不同。

匹配规则:“0”表示“匹配”;“1”表示“无需匹配”

ACL分类:

配置顺序(config模式)系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。

2),IP ip-prefix  地址前缀列表

 

3.策略工具:

1,filter  policy  过滤策略  

Filter-Policy(过滤-策略)是一个很常用的路由信息过滤工具,能够对接收、发布、引入的路由进行过滤,可应用于IS-IS、OSPF、BGP等协议。

2),route-policy   路由策略

4,实验:路由控制

拓扑:

实验需求:
1, R1上  network  宣告 OSPF  业务A/B/C   ,在R2上 入方向过滤  业务 A
2, R1 上  引入 业务 A/B/C   ,在 R1 上  出向 过滤  业务 B

配置思路:略

配置命令:

1,需求1: R1上  import  宣告 OSPF  业务A/B/C   ,在R2上 入方向过滤  业务 A

操作一:

==============

[R1]ospf  1
[R1-ospf-1]area 0
[R1-ospf-1]import-route  direct   //在 R1 上   将172.16.1.0  、172.16.2.0、172.16.3.0  引入
[R2]ip ip-prefix 1.0 index  10 permit 172.16.1.0 24   //匹配需要过滤的 路由
[R2]ospf 1
[R2-ospf-1]filter-policy ip-prefix 1.0 import   //在  R2  OSPF 进程里 进方向 过滤  ,过滤后的路由加入IP路由表
[R2]dis ip routing-table 
Route Flags: R - relay, D - download to fib
Routing Tables: Public
Destinations : 12       Routes : 12       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
10.10.2.2/32  Direct  0    0           D   127.0.0.1       LoopBack0
127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
172.16.1.0/24  O_ASE   150  1           D   192.168.12.1    GigabitEthernet0/0/0
发现R3 上仍然具有 R2上过滤掉的路由
[R3]dis ip routing-table 
Route Flags: R - relay, D - download to fib
Routing Tables: Public
Destinations : 19       Routes : 19       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
10.10.1.0/24  O_ASE   150  1           D   192.168.23.2    GigabitEthernet
0/0/0
10.10.1.1/32  OSPF    10   2           D   192.168.23.2    GigabitEthernet
0/0/0
10.10.2.2/32  OSPF    10   1           D   192.168.23.2    GigabitEthernet
0/0/0
10.10.3.3/32  Direct  0    0           D   127.0.0.1       LoopBack0
10.10.4.4/32  ISIS-L1 15   10          D   192.168.34.4    GigabitEthernet
0/0/1
127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
172.16.1.0/24  O_ASE   150  1           D   192.168.23.2    GigabitEthernet0/0/0
172.16.2.0/24  O_ASE   150  1           D   192.168.23.2    GigabitEthernet0/0/0
172.16.3.0/24  O_ASE   150  1           D   192.168.23.2    GigabitEthernet0/0/0

filter-policy import命令对接收的路由设置过滤策略,只有通过过滤策略的路由才被添加到路由表中,没有通过过滤策略的路由不会被添加进路由表,但不影响对外发布出去。

操作二:需求1: R1上  network  宣告 OSPF  业务A/B/C   ,在R2上 入方向过滤  业务 A

逻辑接口默认的网络类型为 P2P  ,所以接口下配置任何网段,发布出去的都是主机路由; 如果想让逻辑接口发出出去的路由 和接口的掩码一致,需要 将网络类型改为广播型网络 。

[R1]int LoopBack  1
[R1-LoopBack1]ospf network-type broadcast 
[R1-LoopBack1]q
[R1]int LoopBack 2
[R1-LoopBack2]ospf network-type broadcast 
[R1-LoopBack2]q
[R1]int LoopBack 3
[R1-LoopBack3]ospf network-type  broadcast 
[R1-LoopBack3]q
[R1]int LoopBack 1
[R1-LoopBack1]ip add 172.16.1.1 24
[R1-LoopBack1]q
[R1]int LoopBack 2
[R1-LoopBack2]ip add 172.16.2.1 24
[R1-LoopBack2]q
[R1]int LoopBack 3
[R1-LoopBack3]ip add 172.16.3.1 24
[R1-LoopBack3]q
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network  172.16.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network  172.16.3.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]q
[R2]ip ip-prefix 23 index  10 permit  172.16.2.0 24
[R2]ip ip-prefix 23 index  20 permit  172.16.3.0 24
[R2]ospf 1
[R2-ospf-1]filter-policy ip-prefix 23 import 
[R2-ospf-1]q
[R2]dis ip routing-table 
Route Flags: R - relay, D - download to fib
Routing Tables: Public
Destinations : 13       Routes : 13       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
10.10.2.2/32  Direct  0    0           D   127.0.0.1       LoopBack0
127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
172.16.2.0/24  OSPF    10   1           D   192.168.12.1    GigabitEthernet0/0/0
172.16.3.0/24  OSPF    10   1           D   192.168.12.1    GigabitEthernet0/0/0
======

需求2: R1 上  引入 业务 A/B/C   ,在 R1 上  出向 过滤  业务 B

将之前配置还原:

[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]undo  network 172.16.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]undo network 172.16.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]undo network 172.16.3.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]q
[R1-ospf-1]import-route direct 
[R1-ospf-1]q
[R2]undo ip ip-prefix 23
[R2]ospf 1
[R2-ospf-1]undo  filter-policy ip-prefix 23 import

针对引入的外部路由  , 使用 过滤策略 ,在出向过滤 :

1)用地址前缀列表,匹配过滤后放入IP路由表的路由

[R1]ip ip-prefix 13 index 10 permit  172.16.1.0 24
[R1]ip ip-prefix 13 index 20 permit  172.16.3.0 24
**2)在OSPF 进程 ,出方向 实现过滤  **
[R1]ospf 1
[R1-ospf-1]filter-policy ip-prefix 13 export

3)在R2上 查看 过滤效果:

[R2]dis ip routing-table
Route Flags: R - relay, D - download to fib
Routing Tables: Public
Destinations : 15       Routes : 15       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
10.10.1.0/24  OSPF    10   1           D   192.168.12.1    GigabitEthernet
0/0/0
10.10.2.2/32  Direct  0    0           D   127.0.0.1       LoopBack0
10.10.3.3/32  OSPF    10   1           D   192.168.23.3    GigabitEthernet
0/0/1
127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
172.16.1.0/24  O_ASE   150  1           D   192.168.12.1    GigabitEthernet0/0/0
172.16.3.0/24  O_ASE   150  1           D   192.168.12.1    GigabitEthernet0/0/0

**需求:
3, R1上  引入外部路由   业务A/B/C   ,且  不允许引入 业务C   ,引入的业务A/B  将默认的TAG  1  改为  10  和 20  
4,  根据  标记  TAG   ,在  R3  isis 中引入 OSPF  时 过滤掉  业务B **

[R1]undo ip ip-prefix 13
[R1]ospf 1
[R1-ospf-1]undo filter-policy ip-prefix 13 export 
[R1-ospf-1]
import-route direct
因为分别为 两个网段路由做标记,所以配置两个地址前缀列表
[R1]ip ip-prefix 2.0 index 10 permit 172.16.1.0 24
[R1]ip ip-prefix 1.0 index 10 permit 172.16.2.0 24
用路由策略,为匹配的两个路由从新打标记
[R1]route-policy 12 permit node 10
[R1-route-policy]if-match ip-prefix 2.0
[R1-route-policy]apply tag 10
[R1-route-policy]q
[R1]route-policy 12 permit node 20
[R1-route-policy]if-match ip-prefix 1.0
[R1-route-policy]apply tag 20
[R1-route-policy]q
引入外部路由时 ,调用路由策略
[R1]ospf 1
[R1-ospf-1]import-route direct route-policy 12
在R2 上查看5类LSA  ,查看每个LSA  里的 tag 标记
[R2]dis ospf lsdb ase 172.16.1.0
OSPF Process 1 with Router ID 2.2.2.2
Link State Database
Type      : External
Ls id     : 172.16.1.0
Adv rtr   : 1.1.1.1  
Ls age    : 49 
Len       : 36 
Options   :  E  
seq#      : 80000005 
chksum    : 0xea17
Net mask  : 255.255.255.0 
TOS 0  Metric: 1 
E type    : 2
Forwarding Address : 0.0.0.0 
Tag       : 10 
Priority  : Low
[R2]dis ospf lsdb ase 172.16.2.0
OSPF Process 1 with Router ID 2.2.2.2
Link State Database
Type      : External
Ls id     : 172.16.2.0
Adv rtr   : 1.1.1.1  
Ls age    : 57 
Len       : 36 
Options   :  E  
seq#      : 80000002 
chksum    : 0x9a5f
Net mask  : 255.255.255.0 
TOS 0  Metric: 1 
E type    : 2
Forwarding Address : 0.0.0.0 
Tag       : 20 
Priority  : Low
[R3]DIS ospf routing   //在R3上 也能查看到  打标记的 1.0 和2.0 路由
OSPF Process 1 with Router ID 3.3.3.3
Routing Tables 
Routing for Network 
Destination        Cost  Type       NextHop         AdvRouter       Area
10.10.3.3/32       0     Stub       10.10.3.3       3.3.3.3         0.0.0.0
192.168.23.0/24    1     Transit    192.168.23.3    3.3.3.3         0.0.0.0
10.10.1.0/24       2     Stub       192.168.23.2    1.1.1.1         0.0.0.0
10.10.2.2/32       1     Stub       192.168.23.2    2.2.2.2         0.0.0.0
192.168.12.0/24    2     Transit    192.168.23.2    2.2.2.2         0.0.0.0
Routing for ASEs
Destination        Cost      Type       Tag         NextHop         AdvRouter
172.16.1.0/24      1         Type2      10          192.168.23.2    1.1.1.1
172.16.2.0/24      1         Type2      20          192.168.23.2    1.1.1.1
在R3上  过滤掉 172.16.2.0 路由 ,其他允许通过
[R3]route-policy 2.0 deny node 10
[R3-route-policy]if-match tag 20
[R3-route-policy]q
[R3]route-policy 2.0 permit  node 20 
在R3上 引入OSPF 路由到  ISIS  的LEVEL 1 数据库  的时候调用路由策略过过滤 
[R3]isis 100
[R3-isis-100]import-route ospf 1 level-1 route-policy 2.0
在R4上 查看IP 路由表  ,确认 引入时 过滤成果  ,没有172.16.2.0 路由
[R4]dis ip routing-table
Route Flags: R - relay, D - download to fib
Routing Tables: Public
Destinations : 14       Routes : 14       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
10.10.1.0/24  ISIS-L1 15   74          D   192.168.34.3    GigabitEthernet0/0/0
10.10.2.2/32  ISIS-L1 15   74          D   192.168.34.3    GigabitEthernet0/0/0
10.10.3.3/32  ISIS-L1 15   74          D   192.168.34.3    GigabitEthernet0/0/0
10.10.4.4/32  Direct  0    0           D   127.0.0.1       LoopBack0
127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
172.16.1.0/24  ISIS-L1 15   74          D   192.168.34.3    GigabitEthernet0/0/0
192.168.12.0/24  ISIS-L1 15   74          D   192.168.34.3    GigabitEthernet0/0/0

攻城狮啊尧
关注
专栏目录
【Router】路由功能之IP过滤(IP Filter)功能(基于端口)介绍及实现
wgl307293845的博客
09-29 549
IP Filter是一种通过对网络数据包中的 IP 地址进行分析和筛选,以实现对网络流量的控制和管理的技术。
路由过滤
磨镜台的博客
05-06 591
过滤器函数 beego.InsertFilter(pattern string, position int, filter FilterFunc, params ...bool) pattern路由规则,支持正则 position有5个固定参数,BeforeExec找到路由之后,开始执行相应的Controller之前 filter 函数 类型为type FilterFunc func(*cont...
路由控制
shengzhu1的博客
05-22 5323
定义路由器根据路由控制表(Routing Table)转发数据包,它根据所收到的数据包中目标主机的IP地址与路由控制表的比较得出下一个应该接收的路由器。路由控制分为静态和动态两种,静态路由是指事先设置好路由器和主机中并将路由信息固定的方法,动态路由是指让路由协议在运行过程中自动的设置路由控制信息的方法。路由协议的分类路由协议大致分为两大类,一类是外部网关协议EGP(Exterior Gateway
路由过滤
Goallegoal的博客
03-21 3995
路由过滤 定义 使用路由协议是为了学习路由条目,而路由过滤刚好与其相反,可以把一些不需要的路由条目过滤掉。 包括三个列表 prefix-list 前缀列表 之前抓路由条目会使用ACL,在这里介绍的前缀列表抓路由会更加的方便。二者进行对比,ACL除了可以抓取路由条目,还可以抓流量(ICMP、HTTP等),但是前缀列表只能抓路由,不具备协议、端口的概念,更像是一个数学工具。 ACL使用回顾 acce...
路由过滤详解
咖啡的餘香
09-18 3483
路由过滤详解。 (一) Route Maps 特性: Route Maps类似于access lists,不同之处在于Route Maps可以改变Packets/Routes的部分属性。 用途: Route Maps主要用于Redistribution和Policy Routing及BGP的实现。 实现: Policy Routing发送Packets到Rou
路由过滤工具(Filter-Policy)
m0_59331971的博客
02-15 1142
路由过滤工具 Filter-Policy 1.只能过滤路由 2.无法过滤LSA 3.不能修改路由属性  距离矢量:过滤路由的发送和接收  链路状态:过滤路由表生成,不影响LSDB的完整性 命令: 格式:filter-policy acl编号/acl名称 export/import 例:filter-policy 2000 export 在协议出方向调用过滤策略 额外参数: ip-prefix:地址前缀列表 router-policy:路由策略 export:出方向 import:入方向 命令:filt
计算机病毒与防护:路由控制工具介绍.pptx
06-10
【计算机病毒与防护:路由控制工具介绍】 在网络安全领域,计算机病毒防护是至关重要的,而路由控制工具则是保障网络流量安全的重要手段。本文件主要介绍了访问控制列表(ACL)、IP地址通配符掩码、IP-Prefix List...
掌握策略路由路由控制过滤与转发的艺术
路由策略与策略路由网络管理员在设计和管理网络时常用的技术,它们旨在精细控制网络中的流量流动,确保数据包按照预设的方式转发。路由策略主要关注如何通过调整路由表中的条目来控制流量的可达性和路径选择,而...
网络工程_路由过滤配置.docx
01-26
路由过滤是一种网络安全机制,用于控制网络流量的流向和访问权限。通过配置路由过滤,我们可以拒绝或允许特定的网络流量,保护网络的安全。 一、路由过滤的基本原理 路由过滤是基于路由器的访问控制列表(ACL)...
11 路由策略与路由控制.pptx
最新发布
01-25
路由策略与路由控制】是网络管理中的一个重要领域,它涉及到如何有效地管理和操纵网络中的路由信息,以满足特定的网络需求。路由策略并不是一个独立的技术,而是一系列工具和技术的集合,包括但不限于访问控制列表...
IGMP协议
CoIin的博客
07-31 1052
IGMP (Internet Group Management Protocol)因特网组管理协议 是TCP/IP协议族中负责IP组播成员管理的协议,它用来在IP主机和与其直接相邻的组播路由器之(最后一跳路由器)间建立、维护组播组成员关系 IGMPv1 工作机制 如图所示,假设Client A和Client C想要接收组播组G1的数...
路由控制.
qq_43704340的博客
10-23 1281
* 1.路由策略:通过控制路由的接收/发布/路由优选进而实现对流量可达性以及流量路径的控制 2.策略路由:直接对流量进行可达性以及流量路径的控制 Filter-Policy工具(过滤策略):过滤路由表里的路由条目,不能过滤路由属性 Route-Policy工具(路由策略):修改路由属性 Traffic-Filter工具(流量过滤) traffic-policy(流量策略) 1.控制网络流量可达性: 方式: 1.路由策略:可通过修改路由条目(即对接收和发.
过滤路由:策略路由
follow your heart
06-05 6559
前言: 周一上课,没有好好听课,结果作业没完成,下课补作业!感觉喜欢自己学,不过老师也很厉害,要把我这么笨的学生教会也不容易! 配置过滤路由的三种方法: 路由过滤方法一: 1. 先在R3上写访问控制列表 2. 然后进入R3的OSPF路由协议 3. 将R3上的eigrp路由重分布到OSPF路由中 4. 按照访问控制列表1往外分布eigrp路由 1. 在R4上查看...
HCIP第十四天
m0_54642732的博客
01-22 811
8,优选到达NEXT_HOP的IGP度量值最小的路由 指的是到达下一跳本地路由表中的开销值进行比较,和其他参数无关。 BGP的路由过滤 1,通过路由策略进行过滤 [r1]ip ip-prefix aa permit 192.168.1.0 24 [r1]route-policy aa deny node 10 Info: New Sequence of this List. [r1-route-policy]if-match ip-prefix aa [r1-route-policy]q [r1]rout.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值